Avast, AVG, FireEye, ESET, Trend Micro ou encore Kaspersky Lab. Tavis Ormandy ajoute désormais Malwarebytes à son tableau de chasse. Actuellement membre de Project Zero de Google, le chercheur en sécurité a identifié quatre problèmes de sécurité avec le produit Anti-Malware de Malwarebytes.

Malwarebytes-logo Parmi ceux-ci, une vulnérabilité de type élévation de privilèges mais surtout le fait que les mises à jour de Malwarebytes ne sont pas signées ou téléchargées à travers un canal sécurisé. Pour Tavis Ormandy, cette diffusion via HTTP permet une attaque de type man-in-the-middle. Un attaquant pourrait alors remplacer les fichiers transmis.

Malwarebytes indique que Tavis Ormandy a fait part début novembre de ses trouvailles dans la version grand public de Malwarebytes Anti-Malware. Les vulnérabilités ont été corrigées quelques jours après côté serveur. Une nouvelle version du produit de sécurité (2.2.1) est par contre encore testée afin de corriger les problèmes côté client.

Un déploiement est prévu pour dans les prochaines semaines. Le PDG et fondateur de Malwarebytes pondère la gravité des vulnérabilités mais ne remet pas en cause les découvertes du hacker de Google. " Les vulnérabilités sont la dure réalité du développement de logiciels. […] Bien que de telles choses se produisent, ce ne devrait pas arriver à nos utilisateurs. "

Pour être mieux armé à l'avenir, Malwarebytes décide de lancer un programme de Bug Bounty. Le but est d'encourager les chercheurs en sécurité tiers à rapporter des vulnérabilités affectant les produits Malwarebytes, et ce de manière responsable. Autrement dit, sans tomber dans la divulgation publique.

En fonction de la gravité des vulnérabilités rapportées et leur exploitabilité, les récompenses vont de 100 à 1 000 dollars. Seulement… jugeront certains.